De Algemene Verordening Gegevensbescherming (AVG) zorgt er onder meer voor dat de eigenaar van de persoonsgegevens meer controle heeft over de verwerking van die gegevens door anderen (inzage en afschrift), over welke gegevens verwerkt mogen worden (specifieke toestemming), en het recht de gegevens op te eisen en 'mee te nemen' naar een andere gegevensverwerker (dataportabiliteit).


Inzage

Patiënten hebben onder de AVG, net als voorheen, recht op inzage in hun persoonsgegevens. Inzage op het medisch dossier volgt daarnaast uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Het recht betreft ook inzage in de logging van gegevens. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken en aan wie de arts of instelling de gegevens ter beschikking heeft gesteld. Alleen in de persoonlijke werkaantekeningen hoeft de instelling geen inzage te geven. Die inzage, op papier of elektronisch, is in principe gratis.


Kopieën of afschriften

Aan patiënten zelf (of hun vertegenwoordiger)

  • Patiënten hebben ook recht op complete kopieën van hun medische gegevens, inclusief de logging. Hiervoor mag de instelling onder de AVG geen kosten in rekening brengen. Vanaf 1 juli 2020 moet de instelling ook gratis een elektronisch afschrift, inclusief logging, verstrekken wanneer er sprake is van een elektronisch uitwisselingssysteem waarbij (patiënt)gegevens raadpleegbaar kunnen worden gemaakt tussen verschillende zorgaanbieders.

Aan andere partijen.

  • Een instelling mag alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als de instelling een grond heeft om het medisch beroepsgeheim te doorbreken, zoals toestemming.


Specifieke toestemming

Wanneer een instelling gegevens verwerkt moet de instelling betrokkenen informeren over wat er precies gebeurt met de gegevens en waarom. Er mogen niet meer gegevens gevraagd en verwerkt worden dan de gegevens die noodzakelijk zijn om het doel van de verwerking te bereiken. Namelijk: een goede behandeling. Of formeler: het uitvoeren van de behandelovereenkomst. Ten slotte moet de instelling ervoor zorgen dat hij kan aantonen dat de betrokkene specifieke toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.


Dataportabiliteit

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van betrokkenen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder in een voor een machine leesbaar formaat (zoals een Excelbestand of een .pdf). Het recht geldt voor een deel van de gegevens in medische dossiers en het gaat alleen om digitale gegevens.

Dataportabiliteit: welke gegevens wel

  • De persoonsgegevens die de patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht van dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloeddrukmeter genereert.

Dataportabiliteit: welke gegevens niet

  • De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit. Hiermee worden de gegevens bedoeld die een zorgverlener zelf heeft gegenereerd op basis van de verstrekte gegevens door de patiënt. Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die de behandelaar(s) op basis van de door de patiënt verstrekte gegevens vaststelt. Die moeten wel verstrekt worden als een kopie of afschrift gevraagd wordt.
  • Met de gegevens die de patiënt onder beroep op de dataportabiliteit krijgt kan een andere zorgverlener weer aan de slag met het trekken van de eigen conclusies.


Impact op Zorgdoc

Het specifieke aan Zorgdoc is dat de patiënt zelf de volledige controle heeft over de gegevens in Zorgdoc

Bij het creëren van een Zorgdoc dossier geeft de patiënt aan Zorgdoc toestemming voor het verwerken van zijn of haar gegevens. Elke verwerking op zich staat onder controle van de door de patiënt ingestelde regels.

Bij Zorgdoc is de patiënt de baas

Zorgdoc verwerkt gegevens van de patiënt, maar wel volledig onder controle van de patiënt. Bij Zorgdoc is de patiënt de baas. Dus inzage, kopie of afschrift, toestemming en dataportabiliteit zijn geen issue, omdat de patiënt zelf aan het roer staat. Daarmee zijn de rechten van de gebruikers van Zorgdoc goed geregeld in het basisontwerp van Zorgdoc (privacy by design).

Voor Zorgdoc heeft de AVG beperkte impact op de interne organisatie. De beveiliging van de gegevens zat en zit al ingebouwd in de bouw van Zorgdoc zelf, alles wordt per dossier apart versleuteld opgeslagen.

Zorgdoc maakt gebruik van de Stichting Privacyzorg voor de controle op de interne organisatie.


Bron geraadpleegd op: 16-05-2018
Illustratie